Amazon Key Management Service 中的数据保护 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Key Management Service 中的数据保护

Amazon Key Management Service 存储和保护您的加密密钥,使其具有高度可用性,同时为您提供强大而灵活的访问控制。

保护密钥材料

默认情况下,Amazon KMS 生成并保护 KMS 密钥的加密密钥材料。此外,Amazon KMS 还为在 Amazon KMS 外部创建和保护的密钥材料提供选项。有关 KMS 密钥和密钥材料的技术详细信息,请参阅 Amazon Key Management Service 加密详细信息

保护 Amazon KMS 中生成的密钥材料

默认情况下,当您创建 KMS 密钥时,Amazon KMS 会为该 KMS 密钥生成并保护加密材料。

为了保护 KMS 密钥的密钥材料,Amazon KMS 依靠经过 FIPS 140-2 安全级别 3 级验证的硬件安全模块(HSM)组成的分布式实例集。每个 Amazon KMS HSM 都是专用、独立的硬件设备,旨在提供专用的加密功能,以满足 Amazon KMS 的安全性和可扩展性要求。(在中国区域中,Amazon KMS 使用的 HSM 已经过 OSCCA 认证并符合所有相关的中国法规,但未经过 FIPS 140-2 加密模块验证计划验证。)

在 HSM 中生成 KMS 密钥的密钥材料时,默认情况下会对其进行加密。密钥材料仅在 HSM 易失性存储器中解密,并且仅在加密操作中使用该密钥所需的几毫秒内解密。每当密钥材料未处于活跃使用状态时,都会在 HSM 中对其进行加密,然后传输到高度耐用(99.999999999%)、低延迟的永久存储中,在那里与 HSM 保持分离和隔离。明文密钥材料永远不会离开 HSM 安全边界;并且永远不会写入磁盘或持久性存放在任何存储介质中。(唯一的例外是非对称密钥对的公有密钥,此密钥对不是秘密的。)

Amazon 断言,作为一项基本的安全原则,任何 Amazon Web Service 中任何类型的明文加密密钥材料都不存在人为交互。任何人(包括 Amazon Web Service 操作员)都无法查看、访问或导出明文密钥材料。即使在灾难性故障和灾难恢复事件中,该原则也适用。Amazon KMS 中的明文客户密钥材料仅用于 Amazon KMS 中经过 FIPS 验证的 HSM 的加密操作,以响应客户或其代表向服务提出的授权请求。

对于客户托管密钥,创建密钥的 Amazon Web Services 账户 是密钥的唯一且不可转让的拥有者。拥有者账户对控制密钥访问权限的授权策略拥有完全和排他性的控制权。对于 Amazon 托管式密钥,Amazon Web Services 账户 可以完全控制授权向 Amazon Web Service 提出请求的 IAM policy。

保护 Amazon KMS 外部生成的密钥材料

Amazon KMS 提供 Amazon KMS 中生成的密钥材料的替代方案。

自定义密钥存储是一项可选的 Amazon KMS 功能,允许您创建由 Amazon KMS 外部生成和使用的密钥材料提供支持的 KMS 密钥。Amazon CloudHSM 密钥存储中的 KMS 密钥由您控制的 Amazon CloudHSM 硬件安全模块中的密钥提供支持。这些 HSM 已经过 FIPS 140-2 安全 3 级认证。外部密钥存储中的 KMS 密钥由您在 Amazon 外部控制和管理的外部密钥管理器中的密钥支持,例如私有数据中心的物理 HSM。

另一个可选功能可使您为 KMS 密钥导入密钥材料。为了在导入的密钥材料传输到 Amazon KMS 时对其进行保护,您可以使用 Amazon KMS HSM 中生成的 RSA 密钥对中的公钥来加密密钥材料。导入的密钥材料在 Amazon KMS HSM 中进行解密,并使用 HSM 中的对称密钥进行重新加密。与所有 Amazon KMS 密钥材料一样,明文导入的密钥材料绝不会让 HSM 处于未加密状态。但是,提供密钥材料的客户负责密钥材料在 Amazon KMS 之外的安全使用、持久性和维护。

数据加密

Amazon KMS 中的数据包含 Amazon KMS keys 以及它们所代表的加密密钥材料。此密钥材料仅在其使用时以明文形式存在于 Amazon KMS 硬件安全模块 (HSM) 中。否则,密钥材料将被加密并存储在持久性存储中。

Amazon KMS 生成为 KMS 密钥生成的密钥材料永远不会使 Amazon KMS HSM 未加密。它不会在任何 Amazon KMS API 操作中导出或传输。多区域密钥除外,此时 Amazon KMS 会使用跨区域复制机制将多区域密钥的密钥材料从一个 Amazon Web Services 区域 中的 HSM 复制到另一个 Amazon Web Services 区域 中的 HSM。有关详细信息,请参阅 Amazon Key Management Service 加密详细信息中的多区域密钥复制过程

静态加密

Amazon KMS 在兼容 FIPS 140-2 安全 3 级的硬件安全模块(HSM)中为 Amazon KMS keys 生成密钥材料。唯一的例外是中国区域,在这些区域中,Amazon KMS 用于生成 KMS 密钥的 HSM 符合所有相关的中国法规,但未经过 FIPS 140-2 加密模块验证计划验证。密钥材料未使用时,会利用 HSM 密钥进行加密,并写入耐久的持久性存储中。KMS 密钥的密钥材料和保护密钥材料的加密密钥永远不会以明文形式离开 HSM。

KMS 密钥的密钥材料的加密和管理完全由 Amazon KMS 处理。

有关更多详细信息,请参阅 Amazon Key Management Service 加密详细信息中的使用 Amazon KMS keys

传输中加密

Amazon KMS 为 KMS 密钥生成的密钥材料永远不会在 Amazon KMS API 操作中导出或传输。Amazon KMS 使用密钥标识符来表示 API 操作中的 KMS 密钥。同样,Amazon KMS 自定义密钥存储中 KMS 密钥的密钥材料不可导出,并且永远不会在 Amazon KMS 或 Amazon CloudHSM API 操作中传输。

然而,一些 Amazon KMS API 操作会返回数据密钥。此外,客户可以使用 API 操作来为选定的 KMS 密钥导入密钥材料

所有 Amazon KMS API 调用必须使用传输层安全性协议(TLS)进行签名和传输。Amazon KMS 需要 TLS 1.2,但建议所有区域使用 TLS 1.3。Amazon KMS 还支持所有区域(中国区域除外)的 Amazon KMS 服务端点的混合后量子 TLS。Amazon KMS 不支持 Amazon GovCloud (US) 中的 FIPS 端点的混合后量子 TLS。对 Amazon KMS 的调用还需要一个现代化的密码套件,该套件支持完美向前保密,这意味着任何密钥(如私有密钥)的泄露都不会影响会话密钥。

如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。要使用标准 Amazon KMS 端点或 Amazon KMS FIPS 端点,客户端必须支持 TLS 1.2 或更高版本。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-2 版》。有关 Amazon KMS FIPS 端点的列表,请参阅 Amazon Web Services 一般参考 中的 Amazon Key Management Service 端点和限额

Amazon KMS 服务主机和 HSM 之间的通信在经过身份验证的加密方案中使用椭圆曲线加密 (ECC) 和高级加密标准 (AES) 进行保护。有关更多详细信息,请参阅 Amazon Key Management Service 加密详细信息中的内部通信安全

互联网络流量隐私保护

Amazon KMS 支持 Amazon Web Services Management Console 以及一组使您能够创建和管理 Amazon KMS keys 并在加密操作中使用它们的 API 操作。

Amazon KMS 支持两种网络连接选项,从您的私有网络到 Amazon。

  • Internet 上的 IPsec VPN 连接

  • Amazon Direct Connect,该服务通过标准的以太网光纤电缆将您的内部网络链接到 Amazon Direct Connect 位置。

所有 Amazon KMS API 调用必须使用传输层安全性 (TLS) 进行签名和传输。这些调用还需要一个现代化的密码套件,该套件支持完美向前保护。仅允许通过 Amazon 内部网络从已知的 Amazon KMS API 主机向存储 KMS 密钥的密钥材料的硬件安全模块 (HSM) 传输流量。

要在不通过公共 Internet 发送流量的情况从您的 Virtual Private Cloud (VPC) 直接连接到 Amazon KMS,请使用 Amazon PrivateLink 提供支持的 VPC 终端节点。有关更多信息,请参阅 通过 VPC 终端节点连接到 Amazon KMS

Amazon KMS 还支持对传输层安全 (TLS) 网络加密协议使用混合后量子密钥交换选项。当您连接到 Amazon KMS API 终端节点时,可以结合使用此选项与 TLS。